Ako identifikovať typ incidentu
|
Klasifikácia incidentu |
Príklad incidentu |
Opis |
|---|---|---|
|
Nežiaduci obsah |
Spam |
Spam – nevyžiadaný hromadný e-mail – znamená, že používateľ nedal povolenie na jeho poslanie a správa je súčasťou väčšieho súboru správ s rovnakým obsahom. Ďalej do tejto skupiny patria e-maily alebo webové stránky s diskriminačným alebo diskreditačným obsahom, s obsahom pornografie, propagácie násilia a podobne. |
|
Škodlivý kód |
Vírus |
Softvér, ktorý je zámerne obsiahnutý alebo vložený do systému so škodlivým zámerom. Na aktiváciu kódu je väčšinou potrebná súčinnosť používateľa. |
|
Získavanie informácií |
Skenovanie |
Skenovanie znamená posielanie požiadaviek na systém s cieľom odhalenia jeho slabín. To zahŕňa niektoré testovacie procesy na zistenie informácií o zariadeniach, službách a účtoch, napr. fingerd, DNS požiadavky, ICMP, SMTP (EXPN, RCPT,…) apod. Odpočúvanie zahŕňa sledovanie a zaznamenávanie sieťovej prevádzky za týmto účelom. Sociálne inžinierstvo znamená získavanie informácií od ľudí netechnickým spôsobom (lži, triky, hrozby). |
|
Pokus o prienik |
Využitie známej zraniteľnosti |
Pokus skompromitovať systém alebo narušiť službu využitím zraniteľnosti so štandardizovaným identifikátorom (napr. CVE), ako napr. pretečenie pamäte, zadné dvierka, XSS (cross side scripting) apod. Patria sem aj opakované neúspešné pokusy o prihlásenie (hádanie, útok hrubou silou), ako aj pokusy o prienik doposiaľ neznámym spôsobom. |
|
Prienik |
Skompromitovanie privilegovaného účtu |
Úspešné skompromitovanie systému alebo aplikácie (služby). Môže k nemu dôjsť na diaľku využitím známej alebo novej zraniteľnosti, ale aj neautorizovaným lokálnym prístupom. |
|
Nedostupnosť |
DoS |
Pri tomto type útokov je systém bombardovaný takým množstvom paketov, že operácie sú oneskorené, alebo systém skolabuje. Príklady vzdialeného útoku typu DoS sú SYN flooding, ping-flooding, E-mail bombing (DDoS: TFN, Trinity,…). Dostupnosť však môže byť ovplyvnená aj lokálnymi zásahmi (zničenie, prerušenie dodávky energie atď.) – alebo vyššou mocou, spontánnymi poruchami alebo ľudskou chybou, bez toho, aby došlo k zlomyseľnosti alebo hrubej nedbanlivosti. |
|
Ohrozenie bezpečnosti informácií |
Neoprávnený prístup k informáciám |
Okrem lokálneho zneužitia údajov a systémov môže byť bezpečnosť informácií ohrozená úspešným kompromitovaním účtu alebo aplikácie. Okrem toho sú možné útoky, ktoré zachytia a získajú prístup k informáciám počas prenosu (odpočúvanie, falšovanie údajov alebo únos). Príčinou môže byť aj ľudská/konfiguračná/softvérová chyba. |
|
Podvod |
Neoprávnené využívanie zdrojov |
Patrí sem využívanie zdrojov na neoprávnené účely vrátane neoprávneného zisku (napr. účasť na ilegálnych reťazových e-mailoch pre dosiahnutie zisku alebo pyramídové schémy). Patrí sem aj predaj a inštalácia nelicencovaných kópií komerčného softvéru alebo iných materiálov chránených autorskými právami. Ďalej sem patria útoky, pri ktorých jedna entita nelegitímne predstiera identitu druhej, aby z toho mala úžitok, ako aj phishing (Maskovanie sa ako iná entita s cieľom presvedčiť používateľa, aby odhalil súkromné prihlasovacie údaje). |
|
Zraniteľnosť |
Zraniteľnosti softvéru / služby, chyby konfigurácie, nezaplátané systémy |
Otvorené resolvery, tlačiarne čitateľné celým svetom, zraniteľnosť zjavná z kontrol Nessus atď., neaktuálne vírusové signatúry atď. |
|
Iné |
Všetky incidenty, ktoré |
Bezpečnostné incidenty nehodiace sa k žiadnemu typu. |
|
Testovacia udalosť |
Akákoľvek aktivita určená na testovanie vyššie uvedených incidentov | Akákoľvek aktivita určená na testovanie vyššie uvedených incidentov |
https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy